Il diritto di accesso ex art. 15 GDPR è il “grimaldello” fondamentale per ogni interessato: serve a capire quali dati un’azienda possiede e come li usa. Ma cosa succede quando questo diritto viene usato non per trasparenza, ma come esca per generare contenziosi e richieste danni? Con la sentenza Brillen Rottler (C-526/24) del 19 marzo 2026, la Corte di Giustizia UE mette un punto fermo: anche una prima richiesta di accesso può essere considerata abusiva se l’unico scopo è costruire artificiosamente una pretesa risarcitoria.

Il caso: iscrizione alla newsletter e “trappola” risarcitoria

La vicenda riguarda un cittadino austriaco iscrittosi alla newsletter di un’azienda di ottica tedesca. Appena tredici giorni dopo l’inserimento dei dati, l’utente invia una richiesta di accesso ai sensi del GDPR. L’azienda rifiuta, sostenendo che il soggetto sia un “ricorrente seriale”: secondo blog e newsletter di settore, l’uomo si iscriverebbe sistematicamente a vari servizi al solo scopo di contestare il mancato (o incompleto) riscontro all’accesso e chiedere risarcimenti.

L’interessato agisce in giudizio chiedendo 1.000 euro di danni per il rigetto della richiesta. Il giudice tedesco si rivolge alla Corte UE: può una singola richiesta essere considerata “eccessiva” e il diniego fondare un diritto al risarcimento?

Quando l’accesso diventa “eccessivo”: conta l’intento, non solo il numero

La Corte chiarisce che la nozione di richiesta “eccessiva” (art. 12, par. 5, GDPR) non è solo quantitativa (troppe richieste in poco tempo), ma anche qualitativa. Un titolare può legittimamente respingere l’istanza se dimostra che l’interessato agisce con un intento abusivo.

In particolare, l’abuso sussiste quando la richiesta non mira a verificare la liceità del trattamento (per poi eventualmente rettificare o cancellare i dati), ma a creare le condizioni per un’azione legale. Per provare questo intento, il titolare può avvalersi di informazioni pubbliche che dimostrino la serialità del comportamento del soggetto verso più aziende.

Niente risarcimento se il danno è “auto-indotto”

Sul fronte del danno (art. 82 GDPR), la CGUE ribadisce due pilastri:

1. Prova del danno: la semplice violazione del GDPR (il rigetto dell’accesso) non genera un risarcimento automatico. L’interessato deve provare di aver subito un pregiudizio reale, materiale o immateriale.
2. Auto-responsabilità: non si ha diritto ad alcun indennizzo se la causa determinante del danno è il comportamento stesso dell’interessato. Se l’utente “cerca” la violazione per monetizzarla, il sistema di protezione dei dati non può essere invocato a suo favore.

Takeaway per le aziende e i DPO

La sentenza Brillen Rottler non è una licenza per ignorare le richieste DSAR (Data Subject Access Request), ma fornisce uno scudo contro le strategie predatorie. Ecco i punti chiave per la gestione operativa:

• Valutazione del contesto: prima di bollare una richiesta come abusiva, occorre analizzare elementi oggettivi (tempistiche, modalità di conferimento dati, precedenti noti). Il rifiuto deve essere l’eccezione, non la regola.
• Onere della prova: spetta al titolare dimostrare l’abuso. È fondamentale documentare internamente le ragioni del diniego, citando eventuali evidenze di serialità o comportamenti contraddittori dell’utente.
• Nessun automatismo risarcitorio: in fase di pre-contenzioso, è utile ricordare che la giurisprudenza UE esclude risarcimenti per danni “fittizi” o derivanti da condotte opportunistiche del richiedente.

In sintesi, la protezione dei dati resta un diritto fondamentale, ma la Corte UE conferma che non può essere trasformata in un modello di business basato sull’abuso del processo.